Forscher stehlen Crypto-Key aus virtuellem Computer

An der University of North Carolina haben Sicherheits-Forscher die Anfälligkeit virtueller Computer für den Diebstahl von Crypto-Keys nachgewiesen. Innerhalb weniger Stunden war es dem Team möglich, aus dem von virtuellen Computern gemeinsam genutzten Cache ausreichend Information zu erlangen, um daraus den Key zu entschlüsseln.

Möglich wurde der Diebstahl allem voran dadurch, dass virtuelle Computer einen gemeinsamen Speicher auf dem Host-Gerät nutzen, aus welchem die Forscher die zur Entschlüsselung notwendigen Informationen entnehmen konnten. Der virtuelle Opfer-PC wird dabei mit einem ebenfalls virtuellen Angreifer-PC dazu genötigt, bei der Verarbeitung der Keys den zuvor vom Angreifer belegten Cache zu überschreiben, um aus den sich daraus ergebenden Veränderungen Rückschlüsse auf den Schlüssel ziehen zu können.

Yinqian Zhang und seinem Team gelang es so, einen 4096-Bit starken Schlüssel in nur wenigen Stunden zu rekonstruieren – unter gleichen Voraussetzungen, wie jene von Amazons Cloud-Diensten.

Während Angriffe auf virtuelle Maschinen in Privat-Haushalten relativ unwahrscheinlich und vergleichsweise ungefährlich sein sollen – immerhin müssen für den Angriff zwei davon auf dem Opfer-PC betrieben werden – sieht es auf Seiten der Cloud-Dienstanbieter schon anders aus: Nicht wenige Dienste werden auf virtuellen Servern betrieben, von denen meist mehrere auf einem Hardware-Server betrieben werden. Grund zur Panik besteht offenbar aber dennoch nicht: Bei mehr als zwei Maschinen bleibt der Angriff erfolglos. [Jacob Aron / Johannes Geissler]

[NewScientist]

 

Geek-Test: Bist du fit in Sachen Cloud Computing? Teste dein Wissen – mit 12 Fragen auf ITespresso.de.

Das könnte Dich auch interessieren

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

(*)

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>